当前位置: 首页 > news >正文

sqli-labs靶场通关笔记:第18-19关 HTTP头部注入

news 2025/7/16 8:29:26

第18关 User-Agent注入

登录正确的用户名密码,它会将User-Agent的信息回显到页面上。猜测UA头可能存在注入点。

利用bp抓包,在UA头后面加一个单引号,发现报错了。

观察报错信息,显示near'xx','admin')',推测后面应该还有两个参数,构造语句',2,3)#试一试,结果没有报错。

进行报错注入,成功回显数据库名。

'and updatexml(1,concat(0x7e,database()),3),2,3)#

 

第19关 Referer注入

登录一个正确的账号,Referer的信息回显到页面上,和UA头注入的思路相同,利用报错注入。

 

http://www.xdnf.cn/news/1126747.html

相关文章:

  • 阿里云 Kubernetes 的 kubectl 配置
  • 46. 携带研究材料(01背包二维数组)
  • Rust基础[part4]_基本类型,所有权
  • 深入理解设计模式:组合模式(Composite Pattern)
  • [设计模式]C++单例模式的几种写法以及通用模板
  • Ubuntu18.04 系统重装记录
  • 【高并发服务器】多路复用的总结 eventfd timerfd
  • 复习笔记 39
  • (李宏毅)deep learning(五)--learning rate
  • 单臂路由实现VLAN互通实验
  • 编译原理第一到三章(知识点学习/期末复习/笔试/面试)
  • HashMap详解
  • 优学教育官网搭建01首页
  • 多模态大语言模型arxiv论文略读(157)
  • Node.js 中http 和 http/2 是两个不同模块对比
  • React源码4 三大核心模块之一:Schedule,scheduleUpdateOnFiber函数
  • GBase 8a 与 Spring Boot + MyBatis 整合实战:从环境搭建到CRUD操作
  • Springboot集成SpringSecurity的介绍及使用
  • 【实时Linux实战系列】使用系统调用实现实时同步
  • 【PTA数据结构 | C语言版】前序遍历二叉树
  • 2025国自然青基、面上资助率,或创新低!
  • 板凳-------Mysql cookbook学习 (十一--------11)
  • C#,List<T> 与 Vector<T>
  • 焊接机器人智能节气阀
  • 关于list
  • 微信小程序入门实例_____从零开始 开发一个每天记账的微信小程序
  • 【GPIO】从STM32F103入门GPIO寄存器
  • 153.在 Vue 3 中使用 OpenLayers + Cesium 实现 2D/3D 地图切换效果
  • 淘宝扭蛋机小程序开发:重构电商娱乐化体验的新范式
  • Kruskal重构树